发明实施例2的一种基于信息扫描的终端管理方法的步骤流程图,具体可以包括如下步骤:
[0089]步骤201,从服务器下载所述识别规则,或,接收服务器下发的识别规则。
[0090]本发明实施例中,可以在服务器安装一客户端,在服务器配置识别规则;也可以将预先配置的识别规则存储至服务器。
[0091]执行终端安全管理策略时,可以向服务器发送下载识别规则的指示,服务器接收到指示后将识别规则反馈至终端;或者,可以在服务器预先设置下发识别规则的时间,以实现服务器按设定时间下发识别规则。
[0092]步骤202,根据预置的识别规则,从终端多个信息对象中识别特征信息对象,并将识别结果上传至服务器。
[0093]在具体实现中,识别规则可以指示所述特征信息对象的属性信息中包括的关键字,可以指示按序识别的信息路径、可以指示识别多个信息对象的识别操作的执行时长、待识别的信息对象大小和数目中至少一种、可以指示包括各关键字的信息对象所属特征分类和其他彳g息。
[0094]当识别规则指示所述特征信息对象的属性信息中包括的关键字时,若所述信息对象的属性信息命中所述识别规则指示的至少一个关键字,则确定所述信息对象为特征信息对象。
[0095]具体地,所述识别规则指示的关键字可以为单个字词或数字或符号,也可以为多个字词或数字或符号的组合,按照识别规则对终端文件进行关键字检测时,首先打开文件,将文件内容读取到终端内存,利用正则匹配规则,检索该文件中时是否存在关键字,可以将命中的特征文件或统计的特征文件的数目上报至服务器,所述服务器可以为私有云服务器、公有云服务器或另一个终端。
[0096]信息对象的属性信息包括所述信息对象的信息名称、信息类型和信息内容中至少一种,还可以是其他任意适用的类型,例如信息大小,本发明对此并做限制。
[0097]当属性信息包括信息对象的信息名称时,识别规则指示的关键字可以为信息对象的信息名称,可以根据识别规则指示的信息对象的信息名称,将终端内符合所述信息名称的文件确定为特征文件,并将确定的特征文件上传至服务器。例如,识别规则指示文件名黑名单,包括“文件名1: readme.txt”和“文件名2:md5.exe”两个文件名,并指示包括上述任意一条文件名或同时包括两个文件名的文件,即可确认为特征文件。
[0098]当属性信息包括信息对象的信息类型时,识别规则指示的关键字可以为信息对象的信息类型,可以根据识别规则指示的文件类型,将终端内符合所述文件类型的文件确定为特征文件,并将确定的特征文件上传至服务器。文件类型可以为Off ice Word、Offi ceExcel、WPS文本、WPS表格、txt文档、rtf文档、CSV文档、PDF文档或其它格式。
[0099]当属性信息包括信息对象的信息内容时,识别规则指示的关键字可以为信息内容的MD5值(Message-Digest Algorithm 5,第五套信息摘要算法),可以将信息内容的MD5值符合所述MD5规则的文件确定为特征文件。命中MD5值的信息对象为特征信息对象,可以是危险文件或是具备某种特殊属性的文件。
[0100]优选地,识别规则还可以指示按序识别的信息路径时,可以按照优先识别的信息路径和/或忽略识别的信息路径,依次对各个信息对象进行识别。
[0101]具体地,可以按照指示的优先识别的信息路径,查找该路径下的特征文件;可以忽略指示的忽略识别的信息路径,查找其他路径下的特征文件。例如,识别规则指示优先识别的路径为:“C: \te s tdate”,则依据识别规则,查找该路径“C: \te stdate”下的文件进行识另IJ,在检测到特征文件后,可以将检测的特征文件和特征文件所在路径一并展示在桌面上,可以通过点击“确认”按钮,将价值文件上传至服务器。
[0102]优选地,识别规则还可以指示识别多个信息对象的识别操作的执行时长、待识别的信息对象大小和数目中至少一种时,可以依据识别规则依次对各个信息对象进行识别,将符合识别规则的特征信息对象或特征信息对象的数目发送至服务器。例如,识别规则指示待识别的信息对象大小小于200M,则在终端内只对小于200M的文件进行识别。
[0103]优选地,识别规则还可以指示各关键字的信息对象所属特征分类时,可以根据所述特征信息对象所命中的关键字,确定所述特征信息对象所属特征分类。
[0104]具体地,依据所述关键字识别出特征信息对象后,可以依据识别规则指示的关键字与信息对象所属特征分类的关系,确定所述特征信息对象所属特征分类,可以将命中的特征文件或统计的特征文件的数目上报至服务器。例如,识别规则指示的关键字为身份证号,并预先设定包括所述身份证号的特征文件属于机密文件,当在终端内识别出具有所述身份证号内容的文件后,确定识别出的特征文件属于机密文件,并将机密文件这一特征分类上传至服务器。
[0105]步骤203,接收所述服务器按照所述识别结果对所述终端配置的终端管理策略,所述终端管理策略指示与所述特征信息对象关联的操作权限。
[0106]在具体实现中,服务器内可以预先记录识别结果与终端管理策略的对应关系,例如特征信息对象与终端管理策略的对应关系、特征信息对象的数目与终端管理策略的对应关系或特征信息对象所属特征分类与终端管理策略的对应关系。
[0107]服务器接收到终端发送的识别结果后,可以根据记录的对应关系,确定所述识别结果对应的终端管理策略,并将确定的终端管理策略反馈至终端。
[0108]具体地,终端可以接收所述服务器根据识别的特征信息对象对所述终端配置的终端管理策略;可以接收所述服务器根据识别的特征信息对象的数目对所述终端配置的终端管理策略;可以接收所述服务器按照识别的特征信息对象的特征类型,对所述终端配置的终端管理策略。
[0109]步骤204,根据所述终端管理策略指示的设置状态,对所述终端至少一个安全设置项进行设置。
[0110]本发明实施例中,所述终端管理策略可以指示终端中与所述特征信息对象关联的至少一个安全设置项的设置状态,可以依据终端管理策略指示的安全设置项的设置状态,对所述终端至少一个安全设置项进行设置,以实现对所述终端的管理。
[0111]在具体实现中,根据所述终端管理策略指示的终端中与所述特征信息对象关联的安全设置项的设置状态,对所述终端至少一个安全设置项进行设置的步骤可以包括:
[0112]步骤SI,检测所述终端当前设置的与所述特征信息对象关联的至少一个安全设置项的设置状态。
[0113]具体地,执行所述终端管理策略时,检测所述终端内当前设置的、与所述特征信息对象关联的至少一个安全设置项的设置状态。
[0114]步骤S2,若当前设置的至少一个安全设置项的设置状态与所述终端管理策略不一致,则按照所述终端管理策略进行修复。
[0115]具体地,针对终端内检查出的特征信息对象,若当前设置的至少一个安全设置项的设置状态与所述终端管理策略不一致,则可以对其进行修复,更改成终端管理策略指示的设置状态,以满足终端管理策略的要求。
[0116]例如,检测所述终端当前设置的与所述特征信息对象关联的密码最短使用期限的设置状态,检测出的密码最短使用期限为5天,因为终端管理策略指示的密码最短使用期限为I天,终端当前的设置状态与终端管理策略不一致,所以对终端的密码使用期限进行修复,将终端的密码最短使用期限更改为I天,以满足终端管理策略的要求。具体操作中,可以在终端页面上显示修改密码最短使用期限的提示信息,并接收通过页面输入的修改后的密码最短使用期限I天。
[0117]进一步,可以对管理结果进行统计,例如,可以对符合终端管理策略的设置状态添加检测通过标识,可以待不符合终端管理策略的设置状态修复完成后,对其添加修复完毕标识;可以统计不匹配安全设置项的数目和统计不匹配设置项数目占终端安全设置项总数目的比例,以及基于预先划分的不匹配设置项数目占终端设置项总数目的比例与终端防护等级的对应关系,确定终端的防护等级,可以展示在终端页面以供查看。
[0118]本发明实施例中,优选地,在所述根据预置的识别规则,从终端多个信息对象中识别特征信息对象之前,所述方法还可以包括:
[0119]获取所述终端对所述信息对象的历史操作记录,从所述历史操作记录中提取历史操作的各个信息对象。
[0120]在具体实现中,浏览网页或网站、共享数据、使用U盘、检查账户、打开文件或其他操作时,终端可以对所述信息对象的操作进行记录,生成历史浏览记录、数据共享记录、U盘使用记录、文件访问打开记录等历史操作记录,并存储以供查看。
[0121]进一步,所述获取终端对信息对象的历史操作记录可以包括:
[0122]访问操作系统的目标注册表,从所述目标注册表中读取对信息对象的历史访问记录和历史搜索记录;
[0123]和/或,从共享文件管理程序的关联位置,读取对多个操作系统共享信息对象的共享访问记录。
[0124]操作系统的目标注册表可以存储终端对信息对象的历史访问记录和历史搜索记录。具体地,预获取对信息对象的历史访问记录或历史搜索记录时,可以从操作系统的目标注册表中读取所需数据。
[0125]共享文件管理程序将多个操作系统共享信息对象的共享访问记录存储至关联位置,例如关联数据库、文件夹等。具体地,预读取对多个操作系统共享信息对象的共享访问记录时,可以从共享文件管理程序的关联数据库或文件夹中读取所需数据。
[0126]依据本发明实施例,根据预置的识别规则,自动检测终端多个信息对象,从终端多个信息对象中识别特征信息对象,并将识别结果上传至服务器,服务器根据上传的识别结果配置终端管理策略,终端按照服务器配置的终端管理策略自行调整与所述特征信息对象关联的至少一个安全设